Art. 21(1) NIS 2 + CIR 2024/2690

Co 'proporcjonalne' naprawdę oznacza w art. 21(1) NIS 2

Jednym najbardziej użytecznym słowem w NIS 2 jest 'proporcjonalne'. To linia między wdrożeniem, które 60-osobowy Mittelstand może utrzymać, a kosztem audytowego teatru, którego żadna Geschäftsführung nie zatwierdzi.

Simon OrzelSimon Orzel·

Dlaczego proporcjonalność jest słowem nośnym

Większość zespołów podchodzi do art. 21 NIS 2 jak do listy kontrolnej dziesięciu środków cyberbezpieczeństwa. Dyrektywa tego nie mówi. Mówi, że podmioty muszą podejmować środki odpowiednie i proporcjonalne, a art. 21(1) wymienia sześć czynników, które decydują o tym, co proporcjonalne oznacza w twoim konkretnym przypadku.

Ma to znaczenie w dwóch kierunkach. W górę: pozwala 60-osobowemu Stadtwerkowi działać bez stosu GRC banku zatrudniającego 5000 osób. W dół: zmusza cię do spisania, dlaczego twój poziom jest wystarczający. Proporcjonalność nie jest klauzulą wyjścia, jest udokumentowanym wyborem.

Czytelnicy po raz pierwszy często to przeoczają, ponieważ słowo brzmi jak asekuracja. Jest przeciwnie. Proporcjonalność to jedyne prawne zakotwiczenie dla dopasowania NIS 2 do budżetu Mittelstandu i jedyna obrona przed audytorem, który sugeruje, że powinieneś był zrobić więcej.

Podstawa prawna
Proporcjonalność jest zakotwiczona w artykule operacyjnym oraz w motywie, który wyjaśnia, jak ma być stosowana.

Art. 21(1) NIS 2 (operacyjny)

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services.

Ten sam ustęp wymienia sześć czynników, które decydują o proporcjonalności: stopień ekspozycji podmiotu na ryzyko, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich powagę, w tym ich skutki społeczne i gospodarcze, stan wiedzy oraz koszt wdrożenia. Wszystkie sześć to dane wejściowe do decyzji, żaden z nich nie jest opcjonalny.

Motyw 79 NIS 2

Cybersecurity risk-management measures should be commensurate with the degree of exposure to risks of the entity concerned and the societal and economic impact that an incident would have.

Motyw 79 jest ramą interpretacyjną. Mówi sądom i audytorom, że od małego podmiotu o niskim śladzie transgranicznym nie oczekuje się dorównania dużemu operatorowi paneuropejskiemu.

CIR 2024/2690, art. 1

This Regulation lays down the technical and the methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555 with regard to the entities listed in the Annex.

Rozporządzenie wykonawcze kwantyfikuje środki jedynie dla wąskiego zbioru dostawców infrastruktury cyfrowej (DNS, TLD, chmura, centrum danych, CDN, MSP, MSSP, platforma handlowa, wyszukiwarka, platforma społecznościowa, usługi zaufania). Wszyscy pozostali stosują proporcjonalność bez tych ilościowych progów.

Sześć czynników, które decydują o proporcjonalności
Wszystkie sześć pochodzi wprost z art. 21(1). Udokumentuj stanowisko wobec każdego z nich.

Stopień ekspozycji na ryzyko

Jaka jest rzeczywista powierzchnia zagrożenia? Przedsiębiorstwo wodociągowe z samym segmentem SCADA jest w innej sytuacji niż szpital z dokumentacją pacjentów w otwartym internecie.

Wielkość podmiotu

Liczba pracowników, obrót, zasięg rynkowy. Dyrektywa oczekuje innych środków kontrolnych od 60 pracowników i od 6000 pracowników. Oba mogą być zgodne.

Prawdopodobieństwo i powaga incydentów

Historyczna częstotliwość incydentów, zainteresowanie podmiotów zagrażających danym sektorem, powaga, jeżeli się to wydarzy. Producent farmaceutyczny mierzy się z innymi szansami niż broker logistyczny.

Skutki społeczne i gospodarcze

Kto ponosi szkodę, gdy zawiedziesz. Operator sieci energetycznej ma wyższą gęstość skutków na awarię niż firma B2B SaaS. Ten czynnik przeważa ku cięższym środkom nawet w małych podmiotach.

Stan wiedzy

Jaką podstawę techniczną wdrożyłby rozsądny rówieśnik. MFA w 2026 r. jest stanem wiedzy dla dostępu administracyjnego; przechowywanie haseł w SHA-1 nim nie jest.

Koszt wdrożenia

Udokumentowany wprost w art. 21(1). Nie możesz pominąć środka, ponieważ jest kosztowny, lecz możesz wybrać tańszą drogę, jeżeli osiąga ona cel bezpieczeństwa.

Dwa opracowane przykłady
Jak proporcjonalność wygląda w dwóch realistycznie ukształtowanych podmiotach.

Stadtwerk, 80 pracowników, dystrybucja energii

Sektor z Załącznika I, objęty zakresem niezależnie od wielkości, jeżeli świadczy usługi kluczowe. Proporcjonalny stos: MFA dla dostępu administracyjnego i OT, segmentowana sieć OT, pisemne klauzule umowne z dostawcami, coroczne ćwiczenie incydentowe, udokumentowany rejestr ryzyka. Bez SOC, bez SIEM-as-a-service. Do obrony, ponieważ ekspozycja jest sektorowa, lecz liczba pracowników mała.

Szpital, 200 pracowników, klinika regionalna

Sektor ochrony zdrowia z Załącznika I. Proporcjonalny stos dodaje: szyfrowanie danych pacjentów w spoczynku, audyt dostawców klinicznego IT, całodobowy dyżur do reagowania na incydenty, formalną politykę klasyfikacji incydentów. Cięższy niż Stadtwerk, ponieważ skutek społeczny jest wyższy na awarię, a powierzchnia zagrożenia szersza.

Co proporcjonalność wymaga, abyś wytworzył
Trzy artefakty. Żaden z nich nie jest narzędziem programowym, wszystkie są dokumentami.

Pisemna analiza proporcjonalności

Przejdź przez sześć czynników, podaj swoje stanowisko wobec każdego, uzasadnij, dlaczego wynikająca głębokość środków jest wystarczająca. Jedna strona wystarczy dla 60-osobowego podmiotu.

Zapis kosztów i korzyści dla każdego pominiętego kroku

Jeżeli podmiot rówieśniczy robi X, a ty nie, udokumentuj dlaczego. Stan wiedzy (Stand der Technik) plus koszt to uzasadniony powód. Milczenie nim nie jest.

Coroczny przegląd

Decyzje dotyczące proporcjonalności tracą aktualność. Krajobraz zagrożeń się zmienia, twoja wielkość się zmienia, praktyka rówieśników się przesuwa. Ponownie określ swoje stanowisko co najmniej raz w roku.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), art. 21(1) i motyw 79, www.eur-lex.europa.eu
  • Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), art. 1, www.eur-lex.europa.eu
  • Ustawa o Federalnym Urzędzie ds. Bezpieczeństwa Informacji (BSIG), §30 (krajowa transpozycja art. 21), www.gesetze-im-internet.de
  • ENISA Technical Implementation Guidance v1.0 (czerwiec 2025) w sprawie oceny proporcjonalności

Ta strona udostępnia ustrukturyzowane wytyczne oparte na publicznie dostępnych źródłach (Dyrektywa NIS 2, CIR 2024/2690, BSIG, ENISA TIG). Nie stanowi ona porady prawnej w rozumieniu §2 RDG. W konkretnych przypadkach skonsultuj się z dopuszczonym do wykonywania zawodu prawnikiem. Stan na 2026-06-04.

Chcesz zobaczyć, jak proporcjonalność wygląda w twoim przypadku?
Bezpłatne sprawdzenie zastosowania wytwarza pisemną analizę, którą możesz załączyć do dokumentacji organu zarządzającego.